WO2019009116A1

WO2019009116A1 - 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム

Info

Publication number: WO2019009116A1
Application number: PCT/JP2018/023950
Authority: WO
Inventors: 雄田中
Original assignee: ソニー株式会社
Priority date: 2017-07-07
Filing date: 2018-06-25
Publication date: 2019-01-10
Also published as: EP3651047A1; EP3651047A4; US20200125761A1; JPWO2019009116A1; CN110832489A

Abstract

個人情報等の機密情報を開示することなく、機密情報を用いたデータ処理結果を算出して処理結果を提示可能とした構成を実現する。ユーザ入力データの秘匿化データを送信するユーザ装置と、ユーザ装置からの受信データに基づくデータ処理を実行するサーバを有する。ユーザ装置は、入力データの秘匿化処理として、入力データと入力データ以外のデータを含む一般化データに変換するデータ一般化処理を実行してサーバに送信する。サーバは、入力した一般化データを、ユーザ入力データを含む複数の個別データに展開し、複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出してユーザ装置に返信する。

Description

情報処理装置、情報処理システム、および情報処理方法、並びにプログラム

　本開示は、情報処理装置、情報処理システム、および情報処理方法、並びにプログラムに関する。さらに詳細には、個人情報等の機密情報を開示することなく、機密情報に基づくデータ処理結果、例えば、サービス提供の可否等の結果を生成して提供可能とした情報処理装置、情報処理システム、および情報処理方法、並びにプログラムに関する。

　例えば、商品購入や、保険の契約等を行う場合、商品購入予定者や、保険契約予定者であるユーザは、ユーザの住所、氏名、年齢等の情報や、健康状態等、秘匿性の高い個人情報である機微情報（セキュリティデータ）を商品販売業者や、保険会社に提供しなければならない場合がある。

　特に、現在では、商品購入や、保険の契約処理を、通信ネットワークを介して行うことも多くなっており、ユーザ（顧客）の個人情報が、ネットを介して送受信されることになる。

　例えば、個人の健康状態データに基づいて最適な保険を提供するデータ連動型健康保険がある。
　このデータ連動型健康保険において、保険の加入可否や保険料の計算を行うためには、ユーザの健康状態等の個人情報が不可欠となる。

　しかし、ユーザと保険事業者の双方には、例えば以下のような要望や問題がある。
　ユーザは保険の加入可否や保険料が安くなるのかどうかといった情報を知りたい。しかし、加入できない、あるいは保険料が割高になるといった可能性、つまり自身に不利な個人情報を事業者に提供してしまうことは避けたい。
　さらに、個人情報、すなわちプライバシーが漏えいしてしまう懸念がある。

　一方、保険事業者は、正確な保険加入可否判定や保険料計算のために正確なユーザデータ、すなわち、ユーザの健康状態等の個人情報を取得したい。また新しい保険商品の開発のためには、多くのユーザの健康状態、病歴等の個人情報をより多く蓄積する必要がある。

　ユーザと保険事業者は、個人情報を相互に開示することなく、双方の目的を実現することが理想である。
　すなわち、個人情報を相互に開示することなく、ユーザは、保険の加入可否や保険料が安くなるのかどうかといった契約決定のために必要となる情報を取得し、一方、保険事業者は、正確な保険加入可否判定や保険料計算結果をユーザに提供できれば理想的である。

　昨今、例えば、多数の個人情報等の機密情報（セキュアデータ）の相関や類似性等、データ間の関連性を解析する技術について、様々な検討がなされている。
　例えば、機密情報（セキュアデータ）の暗号化データや、変換データ等の秘匿化データを利用して、データ間の関連性を解析する手法がある。
　なお、データの暗号化や変換処理等、元データを秘匿化したデータを利用して行われる計算処理を、秘密計算、あるいはセキュア計算と呼ぶ。

　例えば、特許文献１（特表２００８－５２１０２５号公報）は、２つのデータ間の類似性の指標を、セキュア計算によって求める構成を開示している。具体的には、２つのデータの内積をセキュア計算で求めて、２つのデータ間のハミング距離を類似性指標値として算出する構成を開示している。

　本文献では、セキュア計算による具体的な内積算出方法として、入力データに対して準同型暗号を適用して暗号化し、暗号化したデータについて準同型加算や乗算を行う方法を開示している。
　しかし、公開鍵暗号である準同型暗号は、データ暗号化に時間がかかるため、莫大な量のデータを扱う場合、計算量が大きくなり、計算装置の負荷や処理時間が増大してしまうという問題がある。また、暗号文自体のサイズも大きいため通信量も大きくなるという問題がある。

　さらに、特許文献２（特開２０１４－２０６６９６号公報）も、複数の組織が、各組織内で秘匿すべき異なる２つのデータを保持している場合、これら２つのデータの内積を、少ない計算量で算出する構成を開示している。
　この特許文献２の開示構成は、データ秘匿化処理や、秘匿化データを適用した内積計算の時間の短縮を実現している。
　しかし、この開示手法は、セキュア計算を実行する独立な計算機を複数、必要とする構成であり、計算機リソースの大型化や、コスト高が避けられないという問題点がある。

特表２００８－５２１０２５号公報特開２０１４－２０６６９６号公報

　本開示は、例えば上述の問題点に鑑みてなされたものであり、個人情報等、秘匿性の高い機密情報を相互に開示することなく、さらに高コストなセキュア計算を用いることなく、機密情報に基づく処理結果を生成して提供することを可能とした情報処理装置、情報処理システム、および情報処理方法、並びにプログラムを提供することを目的とする。

　本開示の第１の側面は、
　入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行する一般化処理部と、
　前記一般化処理部によって一般化処理の施された一般化データを送信する通信部を有する情報処理装置にある。

　さらに、本開示の第２の側面は、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力し、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出するデータ処理部を有する情報処理装置にある。

　さらに、本開示の第３の側面は、
　ユーザ入力データの秘匿化データを送信するユーザ装置と、
　前記ユーザ装置からの受信データに基づくデータ処理を実行して処理結果を前記ユーザ装置に返信するサーバを有する情報処理システムであり、
　前記ユーザ装置は、
　入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行して、前記サーバに送信し、
　前記サーバは、
　前記一般化データを入力し、前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに分類し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出して、前記ユーザ装置に返信する情報処理システムにある。

　さらに、本開示の第４の側面は、
　情報処理装置において実行する情報処理方法であり、
　一般化処理部が、入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行し、
　通信部が、前記般化データを送信する情報処理方法にある。

　さらに、本開示の第５の側面は、
　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置のデータ処理部が、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力し、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出する情報処理方法にある。

　さらに、本開示の第６の側面は、
　情報処理装置において情報処理を実行させるプログラムであり、
　一般化処理部に、入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行させ、
　通信部に、前記般化データを送信させるプログラムにある。

　さらに、本開示の第７の側面は、
　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置のデータ処理部に、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力する処理と、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開する処理と、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出する処理を実行させるプログラムにある。

　なお、本開示のプログラムは、例えば、様々なプログラム・コードを実行可能な情報処理装置やコンピュータ・システムに対して例えば記憶媒体によって提供されるプログラムである。このようなプログラムを情報処理装置やコンピュータ・システム上のプログラム実行部で実行することでプログラムに応じた処理が実現される。

　本開示のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

　本開示の一実施例の構成によれば、個人情報等の機密情報を開示することなく、機密情報を用いたデータ処理結果を算出して処理結果を提示可能とした構成が実現される。
　具体的には、例えば、ユーザ入力データの秘匿化データを送信するユーザ装置と、ユーザ装置からの受信データに基づくデータ処理を実行するサーバを有する。ユーザ装置は、入力データの秘匿化処理として、入力データと入力データ以外のデータを含む一般化データに変換するデータ一般化処理を実行してサーバに送信する。サーバは、入力した一般化データを、ユーザ入力データを含む複数の個別データに展開し、複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出してユーザ装置に返信する。
　本構成により、個人情報等の機密情報を開示することなく、機密情報を用いたデータ処理結果を算出して処理結果を提示可能とした構成が実現される。
　なお、本明細書に記載された効果はあくまで例示であって限定されるものではなく、また付加的な効果があってもよい。

情報処理システムの構成例について説明する図である。情報処理システムを構成するユーザ装置とサーバにおいて実行する処理とデータ通信シーケンスについて説明するシーケンス図である。情報入力フォームの一例について説明する図である。情報入力フォームの一例について説明する図である。入力情報の一挽歌処理について説明する図である。入力情報の一挽歌処理について説明する図である。情報入力フォームに対する情報入力の一例について説明する図である。情報入力フォームに対する情報入力の一例について説明する図である。入力情報の送信確認画面の一例について説明する図である。サーバ装置において実行するマッチング計算の例について説明する図である。サーバ装置において実行するマッチング計算の例について説明する図である。サーバ装置において実行する計算結果の圧縮処理例について説明する図である。ユーザ装置の表示部に表示されるサーバからの受信結果情報の一例を示す図である。情報処理装置のハードウェア構成例を示す図である。

　以下、図面を参照しながら本開示に係る情報処理装置、情報処理システム、および情報処理方法、並びにプログラムの詳細について説明する。説明は、以下の項目に従って行う。
　１．情報処理システムの構成例について
　２．情報処理システムにおいて実行する情報処理および通信処理のシーケンスについて
　３．情報処理装置の実行する処理の具体例について
　３－１．入力フォームの具体例について
　３－２．入力データの一般化処理について
　３－３．入力フォームに対するデータ入力、送信処理の具体例について
　３－４．マッチング処理の具体例について
　３－５．サーバからユーザ装置に対する結果データの送信処理と、ユーザ装置におけるデータ表示の具体例について
　４．情報処理装置のハードウェア構成例について
　５．本開示の構成のまとめ

　　［１．情報処理システムの構成例について］
　まず、本開示の処理を実行する情報処理システムの構成例について説明する。
　図１は、本開示の処理を実行する情報処理システムの一構成例を示す図である。
　図１に示すように、情報処理システムを構成する２つの情報処理装置として、ユーザ装置１０、サーバ２０が存在する。
　これらのユーザ装置１０、サーバ２０が、相互に通信を行い、データ処理を実行する。

　ユーザ装置１０は、例えばユーザの所有するＰＣ、スマホ、タブレット端末等の情報処理装置である。
　サーバ２０は、例えば商品販売、保険契約等のサービスを提供するサービス提供会社の情報処理装置である。なお、サーバ２０は、様々なユーザから受信したユーザ情報を格納する記憶部としてのデータベースを有する。
　ユーザ装置１０と、サーバ２０は、それぞれ通信部を有し、例えばインターネット等の通信ネットトワークを介して通信を実行する。

　以下に説明する実施例では、一例として、サーバ２０を保険会社の管理するサーバとする。
　保険会社は、ユーザ装置１０を利用するユーザに対して、保険契約の可否や、保険料算出に必要となる様々な情報（ユーザ情報）の入力を依頼する。ユーザは、ユーザ装置１０を利用して、ユーザ情報を入力して、サーバ２０に送信する。
　なお、以下に説明する実施例は一例であり、本開示の処理は、保険会社の提供するサービスに限らず、その他、個人情報等の秘匿性の高い機密情報を適用した処理を行う様々な構成において適用可能である。

　　［２．情報処理システムにおいて実行する情報処理および通信処理のシーケンスについて］
　次に、図１を参照して説明した情報処理システム、すなわち、ユーザ装置１０と、サーバ２０によって構成される情報処理システムにおいて実行される情報処理、および通信処理のシーケンスについて説明する。

　図２は、ユーザ装置１０と、サーバ２０との間で実行される情報処理、および通信処理のシーケンスの一例を示すシーケンス図である。
　まず、図２を参照して、ユーザ装置１０と、サーバ２０との間で実行する一連の処理について説明し、その後、各処理の詳細について、順次、説明する。

　　（ステップＳ１０１）
　ステップＳ１０１は、ユーザ装置１０から、サーバ２０に対するサービス要求処理である。
　ここでは一例として、サーバ２０側の保険会社に対して、保険の加入条件等の審査を要求する処理を行うものとする。

　具体的には、ユーザが、ユーザ装置１０に年齢等の情報や、健康情報等を入力してサーバ装置２０に送信する。サーバ２０側の保険会社は、これらの情報に基づいて、保険の加入可否や、保険料等の加入条件を算出してユーザに提示する処理等を行う。
　ただし、本開示の構成では、ユーザの秘匿したい情報については、開示することなく処理を行うことを可能としている。
　この具体的な処理については後述する。

　　（ステップＳ１０２）
　ステップＳ１０２は、ステップＳ１０１においてユーザ装置１０からのサービス要求を受信したサーバ２０が、ユーザ装置１０に対して、情報入力のための入力フォームを送信する処理である。

　例えば、ユーザの性別、年齢、住所、既往症、健康状態等を入力するための入力フォームである。
　具体例については後述する。

　　（ステップＳ１０３）
　ステップＳ１０３は、ユーザ装置１０側で実行する処理である。
　ステップＳ１０３においては、ステップＳ１０２でサーバ２０から受信した入力フォームをユーザ装置１０の表示部に表示し、ユーザが、入力フォームに従って情報を入力する。

　　（ステップＳ１０４～Ｓ１０５）
　ステップＳ１０４～Ｓ１０５も、ユーザ装置１０側で実行する処理である。
　ステップＳ１０３において、ユーザが入力フォームに従って情報を入力した後、ユーザは、ステップＳ１０４において、開示したくない入力項目を一般化項目として選択する。

　本開示の説明において、データの一般化処理とは、ユーザの入力値の変換処理であり、ユーザの入力値を、その入力値を含む、ある範囲のデータ（一般化データ）に変換する処理である。
　例えば年齢等の個人情報は、ユーザが開示したくない情報である場合がある。
　このような場合、ユーザは、年齢入力欄に併設された一般化処理の要否チェック欄にチェックを入れる。

　すると、ステップＳ１０５において、ユーザ装置１０は、入力フォームに入力した年齢の値を一般化データに変換する。
　ユーザ装置のデータ処理部である一般化処理部が、このデータ変換処理、すなわち一般化処理を実行して、変換後の一般化データを、通信部を介してサーバ２０に送信する。

　例えば、ユーザが「３６歳」という年齢を入力し、さらに、年齢入力欄に併設された一般化処理の要否チェック欄にチェックを入れることで、ユーザの入力値である３６歳は、例えば「３０～３９歳」という一般化データに変換される。この一般化データがユーザ装置１０１から、サーバ２０に送信されることになる。
　この一般化処理によって、ユーザが開示したくない個人情報の開示を行う必要がなくなる。
　なお、具体的処理例については後述する。

　　（ステップＳ１０６）
　ユーザが、入力フォームに入力したユーザ情報は、ステップＳ１０６においてユーザ装置１０から、サーバ２０に送信される。
　なお、ユーザがステップＳ１０４で、一般化項目に設定した項目の値は、一般化データに変換されて送信されることになる。

　　（ステップＳ１０７）
　次に、ステップＳ１０７において、サーバ２０は、ユーザ装置１０から受信したユーザ情報をデータベースに格納する。

　　（ステップＳ１０８）
　次に、サーバ２０は、ステップＳ１０８において、データベースに格納されたユーサ情報に基づくマッチング計算を行う。

　マッチング計算とは、ステップＳ１０６においてユーザ装置１０から受信したユーザ情報に一致（マッチング）するパラメータを適用して、所定の関数等のデータ算出アルゴリズムを適用して、ユーザに提示するための情報を生成する処理である。
　本処理例では、サーバ２０は保険会社のサーバであり、ユーザの入力情報に一致（マッチング）するパラメータを適用して、保険の加入可否と保険料の算出を行うものとする。

　　（ステップＳ１０９～Ｓ１１０）
　サーバ２０は、ステップＳ１０８におけるマッチング計算によって算出した情報、例えば、保険の加入可否と保険料の情報を、ステップＳ１０９において、ユーザ装置１０に送信する。

　ユーザ装置１０は、ステップＳ１１０において、ステップＳ１０９でサーバ装置２０から受信した保険の加入可否と保険料の情報を、ユーザ装置１０の表示部に表示する。

　　［３．情報処理装置の実行する処理の具体例について］
　次に、図２を参照して説明したシーケンスに従って行われる処理の具体例について、説明する。

　　［３－１．入力フォームの具体例について］
　まず、ステップＳ１０２において、サーバ２０がユーザ装置１０に対して送信する入力フォームの例について、図３以下を参照して説明する。

　図３、図４は、サーバ２０がユーザ装置１０に対して送信する入力フォームの例であり、ユーザ装置２０の表示部に入力フォームを表示した例を示す図である。
　サーバ２０は、例えば図３、図４に示すような入力フォームを生成してユーザ装置１０に送信する。
　本例において、入力フォームは、図３に示す基本情報入力ページと、図４に示す健康情報入力ページによって構成される。

　図３は、基本情報入力ページであり、以下の入力項目を有する。
　（１）性別
　（２）年齢
　（３）住所
　（４）勤務先名と業種
　（５）身長
　（６）体重

　本開示の処理においてユーザに送付される入力フォームの特徴として、以下の特徴がある。
　（特徴１）識別子の入力は求めない。
　（特徴２）準識別子と機微情報の入力を求める。
　（特徴３）準識別子については一般化するか否かを指定することができる。

　なお、「識別子」とは、個人を識別する属性、例えば、個人名、アカウントＩＤ、サービスＩＤなどである。
　「準識別子」とは、通例では「それ自体ではＩＤと見なせないが、他の属性と組み合わせることでＩＤと見なすことのできる属性」と説明される。
　「機微情報」とは、個人のプライバシーに関わる情報である。
　「識別子」、「準識別子」以外の個人に関する情報は「機微情報」に分類する。

　ユーザは、図３に示す基本情報（１）～（６）の入力を行うことが求められる。
　また、これらの各項目、すなわち、（１）性別、（２）年齢、（３）住所、（４）勤務先名と業種、（５）身長、（６）体重、これらの項目には、隣接して、一般化要否のチェック欄が設定されている。

　図３の吹き出し部に説明があるように、一般化とは、入力値を送信せず、入力値を含む所定範囲のデータ（一般化データ）に変換して送信する処理である。
　ユーザは、各項目について、一般化処理を望む場合は一般化要否のチェック欄にチェックを入力する。
　なお、各入力項目に対応する具体的な一般化処理例については、後段で説明する。

　次に、図４を参照して、入力フォームを構成する次のページについて説明する。
　図４は、入力フォームを構成する健康情報入力ページの構成例を示す図である。

　健康情報入力ページは、以下の質問項目（Ｑ１～Ｑ６）と、各項目対応の回答入力欄（はい、いいえ）によって構成される。
　Ｑ１：最近３カ月以内に医師の診察・検査・治療・投薬を受けたことがありますか？
　Ｑ２：過去５年以内に病気やケガで手術を受けたことがありますか？
　Ｑ３：過去５年以内に病気やケガで７日以上の入院をしたことがありますか？
　Ｑ４：過去５年以内に病気（保険会社が特定している告知書記載の病気でがんや糖尿病、肝硬変等）で医師による診察・検査・治療・投薬を受けたことがありますか？
　Ｑ５：過去２年以内に健康診断・人間ドックを受けて、異常（要再検査、要精密検査、要治療、要経過観察を含む）を指摘されたことがありますか？
　Ｑ６：視力、聴力、言語、そしゃく機能に障害がありますか？手、足、指について欠損や機能障害がありますか？背骨に変形や障害がありますか？

　ユーザはこれらの健康情報に関する質問（Ｑ１）～（Ｑ６）に対応して設定された各項目対応の回答入力欄（はい、いいえ）のいずれかをチェックする。
　なお、これらの健康情報の回答については、一般化要否のチェック欄は設定されていない。
　これは、これらの健康情報の回答は、保険の加入可否の判定や、保険料算出に不可欠な情報であるからである。

　　［３－２．入力データの一般化処理について］
　次に、先に図３を参照して説明した一般化要否のチェック欄にチェックを入力した場合に行われるデータの一般化処理の具体例について説明する。
　なお、データの一般化処理は、ユーザ装置１０において実行される。

　例えば、サーバ２０は、ユーザ装置１０に入力フォームを送信する際、一般化処理を実行するための処理プログラム（一般化処理実行プログラム）も併せて送信する。
　ユーザ装置１０は、サーバ２０から提供されたプログラムを実行して、データの一般化処理を実行する。

　図５、図６は、図３を参照して説明した基本情報の入力項目、すなわち、（１）性別、（２）年齢、（３）住所、（４）勤務先名と業種、（５）身長、（６）体重、これらの各項目の一般化処理例を示す図である。

　図５には、（１）性別、（２）年齢、（３）住所、これら各データの一般化処理例を示している。
　各項目について、入力フォームに対するユーザの入力値を下側に示し、一般化データを上側に示している。

　［入力項目＝（１）性別］の場合、ユーザ入力値は、「男」、または「女」のいずれかである。
　この［入力項目＝（１）性別］の一般化要否のチェック欄にチェックを入力した場合、一般化処理実行プログラムは、ユーザ入力値が「男」、「女」いずれの場合でも、入力値を一般化データ＝「不明」に変換する処理を行う。
　この結果、ユーザ装置１０から、サーバ２０に対して送信されるデータは、「（１）性別＝不明」となる。

　次に、［入力項目＝（２）年齢］の一般化処理について説明する。
　［入力項目＝（２）年齢］の場合、ユーザ入力値は、実年齢となる。例えば「３６歳」等の実年齢が入力される。
　この［入力項目＝（２）年齢］の一般化要否のチェック欄にチェックを入力した場合、一般化処理実行プログラムは、ユーザ入力値である実年齢を、入力値に応じた一般化データに変換する。

　具体的には、以下のデータ一般化処理が実行される。
　ユーザ入力値＝０～９歳いずれかの場合は、［０，９］、
　ユーザ入力値＝１０～１９歳いずれかの場合は、［１０，１９］、
　ユーザ入力値＝２０～２９歳いずれかの場合は、［２０，２９］、
　ユーザ入力値＝３０～３９歳いずれかの場合は、［３０，３９］、
　ユーザ入力値＝４０～４９歳いずれかの場合は、［４０，４９］、
　ユーザ入力値＝５０～５９歳いずれかの場合は、［５０，５９］、
　ユーザ入力値＝６０～６９歳いずれかの場合は、［６０，６９］、
　以下、同様である。

　［０，９］は、ユーザ年齢が０～９歳の範囲内であることを意味する。
　［１０，１９］は、ユーザ年齢が１０～１９歳の範囲内であることを意味する。
　以下、同様である。
　このように、［入力項目＝（２）年齢］の一般化処理は、ユーザ入力値を含む１０歳単位の年齢範囲のデータに変換する処理として実行される。

　例えば、［入力項目＝（２）年齢］に、ユーザ入力値＝３６歳の実年齢を入力し、一般化要否のチェック欄にチェックを入力した場合、ユーザ装置１０から、サーバ２０に対する送信データは、「（２）年齢＝［３０，３９］」となる。このデータは、ユーザの年齢が３０歳から３９歳の範囲にあることを意味する。

　次に、［入力項目＝（３）住所］の一般化処理について説明する。
　［入力項目＝（３）住所］の場合、ユーザ入力値は、ユーザの現住所であり、図３に示す、「郵便番号」、「都道府県」、「市区町村」、「番地以降」の各入力フィールドに、ユーザ自身の住所が入力される。

　この［入力項目＝（３）住所］の一般化要否のチェック欄にチェックを入力した場合、一般化処理実行プログラムは、「郵便番号」、「都道府県」、「市区町村」、「番地以降」の各入力フィールドに対する入力値から、「郵便番号」と「番地以降」のデータを削除したデータに変換する。

　例えば、ユーザ入力値が、
　「郵便番号」＝１０２００７７
　「都道府県」＝東京都、
　「市区町村」＝千代田区、
　「番地以降」＝飯田橋２－３－４
　である場合、一般化データ＝「東京都千代田区」に変換される。
　ユーザ装置１０から、サーバ２０に対する送信データは、「（３）住所＝東京都千代田区」となる。

　次に、図６を参照して、［入力項目＝（４）勤務先名と業種］の一般化処理について説明する。
　［入力項目＝（４）勤務先名と業種］の場合、ユーザ入力値は、ユーザの勤務先の会社名と業種であり、例えば「Ａ電機」と「総合電機」、「Ｂ銀行」と「金融」、「Ｃ商店」と「商品販売業」等のように会社名と業種名となる。

　この［入力項目＝（４）勤務先名と業種］の一般化要否のチェック欄にチェックを入力した場合、一般化処理実行プログラムは、会社名を示す入力値を削除し、業種名のみに変換する。
　例えば「Ａ電機」と「総合電機」は、「総合電機」のみに変換される。
　「Ｂ銀行」と「金融」は「金融」のみに変換される。
　「Ｃ商店」と「商品販売業」は「商品販売業」のみに変換される。
　ユーザ装置１０から、サーバ２０に対する送信データは、例えば、「（４）勤務先名と業種＝総合電機」となる。

　次に、［入力項目＝（５）身長］の一般化処理について説明する。
　［入力項目＝（５）身長］の場合、ユーザ入力値は、ユーザの身長となる。例えば「１７５ｃｍ」等の実際の身長データが入力される。
　この［入力項目＝（５）身長］の一般化要否のチェック欄にチェックを入力した場合、一般化処理実行プログラムは、ユーザ入力値を、入力値に応じた一般化データに変換する。
　具体的には、以下のデータ一般化処理が実行される。
　ユーザ入力値＝０～９９ｃｍの範囲の場合は、［０，９９］、
　ユーザ入力値＝１００～１４９ｃｍの範囲の場合は、［１００，１４９］、
　ユーザ入力値＝１５０～１６９ｃｍの範囲の場合は、［１５０，１６９］、
　ユーザ入力値＝１７０～１９９ｃｍの範囲の場合は、［１７０，１９９］、
　以下、同様である。

　［０，９９］は、ユーザの身長が０～９９ｃｍの範囲内であることを意味する。
　［１５０，１６９］は、ユーザの身長が１５０～１６９ｃｍの範囲内であることを意味する。
　以下、同様である。
　このように、［入力項目＝（５）身長］の一般化処理は、ユーザ入力値を含む所定範囲の身長データに変換する処理として実行される。

　例えば、［入力項目＝（５）身長］に、ユーザ入力値＝１７５ｃｍの実際の身長を入力し、一般化要否のチェック欄にチェックを入力した場合、ユーザ装置１０から、サーバ２０に対する送信データは、「（５）身長＝［１７０，１９９］」となる。このデータは、ユーザの身長が１７０ｃｍから１９９ｃｍの範囲にあることを意味する。

　次に、［入力項目＝（６）体重］の一般化処理について説明する。
　［入力項目＝（６）体重］の場合、ユーザ入力値は、ユーザの体重となる。例えば「７５Ｋｇ」等の実際の体重データが入力される。
　この［入力項目＝（６）体重］の一般化要否のチェック欄にチェックを入力した場合、一般化処理実行プログラムは、ユーザ入力値を、入力値に応じた一般化データに変換する。
　具体的には、以下のデータ一般化処理が実行される。
　ユーザ入力値＝０～２９Ｋｇの範囲の場合は、［０，２９］、
　ユーザ入力値＝３０～４９Ｋｇの範囲の場合は、［３０，４９］、
　ユーザ入力値＝５０～６９Ｋｇの範囲の場合は、［５０，６９］、
　ユーザ入力値＝７０～９９Ｋｇの範囲の場合は、［７０，９９］、
　以下、同様である。

　［０，２９］は、ユーザの体重が０～２９Ｋｇの範囲内であることを意味する。
　［５０，６９］は、ユーザの体重が５０～６９Ｋｇの範囲内であることを意味する。
　以下、同様である。
　このように、［入力項目＝（６）体重］の一般化処理は、ユーザ入力値を含む所定範囲の体重データに変換する処理として実行される。

　例えば、［入力項目＝（６）体重］に、ユーザ入力値＝７５Ｋｇの実際の体重を入力し、一般化要否のチェック欄にチェックを入力した場合、ユーザ装置１０から、サーバ２０に対する送信データは、「（６）体重＝［７０，９９］」となる。このデータは、ユーザの体重が７０Ｋｇから９９Ｋｇの範囲にあることを意味する。

　このように、ユーザ装置１０は、ユーザ装置１０のデータ処理部において、入力データの秘匿化処理として、入力データに対する一般化処理を実行する。
　なお、ユーザ装置１０は、入力フォームにおいて入力データに対応づけられた一般化要否指定部に一般化処理を要求する指定情報が入力されている入力データを選択して、選択データの一般化処理を実行する。

　ユーザ装置１０は、入力データに対する一般化処理として、入力データと入力データ以外のデータの双方を含む広い概念を有するデータ、すなわち一般化データに変換するデータ変換処理を実行して、通信部を介してサーバ２０に送信する。

　すなわち、ユーザ装置１０のデータ処理部は、入力データが狭い概念を有するデータである場合、入力データとその他のデータを含むより広い概念を有する一般化データに変換する一般化処理を実行する。
　具体的には、入力データが年齢、身長、体重等の数値データである場合、入力数値データとその他の数値データを含む広い概念の一般化数値データに変換する。また、入力データが住所等の位置データである場合、入力位置データとその他の位置データを含む広い概念の一般化位置データに変換する等の処理を実行する。
　このように、ユーザ装置のデータ処理部である一般化処理部は、入力データの種類に応じて、予め規定された範囲の入力データ以外のデータを含む一般化データに変換する一般化処理を実行する。

　　［３－３．入力フォームに対するデータ入力、送信処理の具体例について］
　次に、入力フォームに対するデータ入力、送信処理の具体例について説明する。
　先に図３を参照して説明した入力フォーム中の基本情報入力ページに対するユーザの入力例を図７に示す。
　図７に示す入力例は、以下の各項目に対する入力が完了した画面の例である。
　入力項目（１）性別：入力値＝男、一般化要否＝チェックなし、
　入力項目（２）年齢：入力値＝２４、一般化要否＝チェックあり、
　入力項目（３）住所：入力値＝１０２００７７　東京都千代田区飯田橋２－３－４、一般化要否＝チェックあり、
　入力項目（４）勤務先名と業種：入力値＝Ａ電機、総合電機、一般化要否＝チェックあり、
　入力項目（５）身長：入力値＝１７５、一般化要否＝チェックなし、
　入力項目（６）体重：入力値＝７５、一般化要否＝チェックなし、

　ユーザが、図７に示す基本情報入力ページに対する入力を実行して、画面右上の「次ヘ」ボタンをクリックすると、次に、図８に示す健康情報入力ページが表示され、ユーザは、この健康情報入力ページに対して入力を行う。
　図８に示す例は、ユーザ入力結果の一例であり、以下の入力を行った例である。
　Ｑ１＝「いいえ」
　Ｑ２＝「いいえ」
　Ｑ３＝「はい」
　Ｑ４＝「いいえ」
　Ｑ５＝「いいえ」
　Ｑ６＝「はい」

　ユーザが、図８に示す健康情報入力ページに対する入力を実行し、画面右上の「次ヘ」ボタンをクリックすると、次に、送信情報確認画面が表示される。
　送信情報確認画面の例を図９に示す。

　図９に示すように、ユーザに対する案内メッセージとして、「以下の基本情報が、入力健康情報に併せて送信されます。よろしければ送信ボタンをクリックしてください。」とのメッセージが表示され、送信予定の基本情報の一覧が表示される。
　図９に示す送信情報画面には、図３に示す基本情報（１）～（６）の各項目対応の送信情報の設定値が表示される。具体的には、以下の送信情報の設定値が表示される。

　入力項目（１）性別：入力値＝男、一般化要否＝チェックなし、
　この入力項目については、ユーザが一般化不要と指定しており、
　入力値＝男が、そのまま送信データとして設定されている。

　入力項目（２）年齢：入力値＝２４歳、一般化要否＝チェックあり、
　この入力項目については、ユーザが一般化要と指定しており、
　入力値＝２４歳は、一般化データ＝２０～２９歳に変換され、一般化データ＝２０～２９歳が、送信データとして設定されている。

　入力項目（３）住所：入力値＝１０２００７７　東京都千代田区飯田橋２－３－４、一般化要否＝チェックあり、
　この入力項目については、ユーザが一般化要と指定しており、
　入力値＝１０２００７７　東京都千代田区飯田橋２－３－４は、一般化データ＝東京都千代田区に変換され、一般化データ＝東京都千代田区が、送信データとして設定されている。

　入力項目（４）勤務先名と業種：入力値＝Ａ電機と総合電機、一般化要否＝チェックあり、
　この入力項目については、ユーザが一般化要と指定しており、
　入力値＝Ａ電機と総合電機は、一般化データ＝総合電機に変換され、一般化データ＝総合電機が送信データとして設定されている。

　入力項目（５）身長：入力値＝１７５、一般化要否＝チェックなし、
　この入力項目については、ユーザが一般化不要と指定しており、
　入力値＝１７５ｃｍが、そのまま送信データとして設定されている。

　入力項目（６）体重：入力値＝７５、一般化要否＝チェックなし、
　この入力項目については、ユーザが一般化不要と指定しており、
　入力値＝７５Ｋｇが、そのまま送信データとして設定されている。

　ユーザは、これらの送信設定情報を確認し、送信を了解したら、送信ボタンをクリックする。このクリック処理により、一部項目データが一般化データに変換された基本情報と、図８を参照して説明した健康情報がサーバ２０に送信される。
　この送信処理は、図２のシーケンス図に示すステップＳ１０６の処理である。

　　［３－４．マッチング処理の具体例について］
　次に、図２を参照して説明した処理シーケンスにおけるステップＳ１０８のマッチング処理の詳細について説明する。

　先に図２を参照して説明したように、サーバ２０は、ステップＳ１０８において、データベースに格納されたユーサ情報に基づくマッチング計算を行う。
　マッチング計算は、ステップＳ１０６においてユーザ装置１０から受信したユーザ情報に一致（マッチング）するパラメータを適用して、所定の関数等のデータ算出アルゴリズムを適用して、ユーザに提示するための情報を生成する処理である。
　本処理例では、サーバ２０は保険会社のサーバであり、ユーザの入力情報に基づいて保険の加入可否と保険料を含む出力情報を生成するものとする。

　例えばユーザの入力情報である性別、年齢、住所等の各入力項目対応のパラメータ：Ｐ１，Ｐ２，Ｐ３，・・・、これら複数のパラメータを、予め規定した関数等のアルゴリズムに入力して、結果を算出する。
　例えば、保険の加入可否算出関数（アルゴリズム）を関数Ｆとした場合、
　関数：Ｆ（Ｐ１，Ｐ２，Ｐ３・・・）によって、保険加入可、または保険加入不可の結果を算出する。
　同様に、保険料算出関数（アルゴリズム）を関数Ｇとした場合、
　関数：Ｇ（Ｐ１，Ｐ２，Ｐ３・・・）によって、保険料を算出する。

　しかし、ユーザ装置１０から受信したユーザ情報には一般化データが含まれる。
　すなわち、上記の例では、例えば、年齢が一般化データとして設定されている。この場合、サーバ２０の受信データに含まれるユーザの年齢情報は、ユーザの実年齢＝２４歳ではなく、一般化年齢データ＝２０～２９歳である。

　従って、サーバ２０は、ユーザの年齢パラメータ＝２４を取得しておらず、上記関数Ｆ，Ｇ等のアルゴリズムに、ユーザの年齢パラメータ＝２４を、そのまま適用することはできない。
　この場合、サーバ２０は、ユーザ装置からの受信データである一般化年齢データ＝２０～２９歳に含まれる１０種類の異なる年齢パラメータを利用して、関数Ｆ、関数Ｇを適用して、１０種類の結果を算出する。
　その他の一般化データについても同様である。

　このように、サーバ２０のデータ処理部は、ユーザ装置１０から、ユーザ入力データとユーザ入力データ以外のデータを含む広い概念を有する一般化データを入力し、一般化データを、ユーザ入力データを含む複数の狭い概念の個別データに分類するデータ展開処理を実行し、さらに、複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出して、ユーザ装置１０に提供する。

　サーバ２０は、例えば、ユーザ装置１０から入力した一般化データが、年齢を示す所定年齢範囲の一般化数値データである場合、この一般化数値データを、複数の異なる個別数値データに分類し、分類した複数の異なる個別数値データの各々を適用したデータ処理を実行して、各個別数値データ対応のデータ処理結果を算出する。
　また、入力した一般化データが、所定範囲の住所を示す一般化位置データである場合、この一般化位置データを、複数の異なる個別位置データに分類し、分類した複数の異なる個別位置データの各々を適用したデータ処理を実行して、各位置データ対応のデータ処理結果を算出する。

　図１０以下を参照して、サーバ２０の実行する処理の一例について説明する。
　図１０には、サーバ２０が、ユーザ装置１０から受信する受信データの一例を示している。
　この受信データは、先に図９を参照して説明した送信情報画面を確認したユーザが送信ボタンをクリックして、サーバ２０に送信したデータである。

　受信データは、以下のデータによって構成される。
　入力項目（１）性別＝男性（＝入力値）、
　入力項目（２）年齢＝２０～２９（入力値＝２４の一般化データ）、
　入力項目（３）住所＝東京都千代田区（入力値＝１０２００７７　東京都千代田区飯田橋２－３－４の一般化データ）、
　入力項目（４）勤務先名と業種＝総合電機（入力値＝Ａ電機と総合電機の一般化データ）、
　入力項目（５）身長＝１７５（＝入力値）
　入力項目（６）体重＝（＝入力値）、

　これらの基本情報と、図８を参照して説明した健康情報のユーザ入力結果、すなわち、以下の健康情報入力結果が受信データの構成データとなる。
　Ｑ１＝「いいえ」
　Ｑ２＝「いいえ」
　Ｑ３＝「はい」
　Ｑ４＝「いいえ」
　Ｑ５＝「いいえ」
　Ｑ６＝「はい」

　サーバ２０は、この受信データをデータベースに格納した後、この受信データに基づくマッチング計算、すなわち、ユーザに提示するための出力情報を生成する。
　前述したように、ユーザの入力情報である性別、年齢、住所等の各パラメータ：Ｐ１，Ｐ２，Ｐ３，・・・、これら複数のパラメータを、予め規定した関数等のアルゴリズムに入力して、結果を出力する。

　受信データ中の一般化データについては、一般化データに含まれる個々の値を順次、適用して、結果を算出する。なお、ホン処理例における結果とは、保険加入可否の判定情報と、保険料である。

　図１０に示すように、受信データに含まれる一般化データは、
　入力項目（２）年齢＝２０～２９（入力値＝２４の一般化データ）、
　入力項目（３）住所＝東京都千代田区（入力値＝１０２００７７　東京都千代田区飯田橋２－３－４の一般化データ）、
　入力項目（４）勤務先名と業種＝総合電機（入力値＝Ａ電機と総合電機の一般化データ）、
　これらの３つのデータである。

　サーバ２０は、例えば保険加入可否の判定アルゴリズム（関数Ｆ）と、保険料算出アルゴリズム（関数Ｇ）の各々について、以下のようなパラメータ設定を行い、各アルゴリズムに従って結果を算出する。

　（１）性別＝男性（＝入力値）は、性別パラメータ＝男、
　（２）年齢＝２０～２９（＝一般化データ）は、年齢パラメータ＝２０，２１，・・，２９の１０種類のパラメータ、
　（３）住所＝東京都千代田区（＝一般化データ）は、パラメータ＝東京都千代田区飯田橋、東京都千代田区一番町等、規定の住所パラメータ、本例では、東京都千代田区に含まれる住所パラメータとして、５種類の住所パラメータがあるものとする。

　（４）勤務先名と業種＝総合電機（＝一般化データ）は、パラメータ＝Ａ電機、Ｂ電機等、規定の会社パラメータ、本例では、総合電機に含まれる勤務先名パラメータとして、４種類の勤務先名パラメータがあるものとする。
　（５）身長＝１７５（＝入力値）は、身長パラメータ＝１７５、
　（６）体重＝７５（＝入力値）は、体重パラメータ＝７５、
　（健康情報：Ｑ１～Ｑ６）については、回答パラメータ＝いいえ，いいえ、はい、いいえ、いいえ、はい

　これらのパラメータを保険加入可否の判定アルゴリズム（関数Ｆ）と、保険料算出アルゴリズム（関数Ｇ）に入力して、それぞれの結果を算出する。
　なお、受信データに含まれる一般化データは、（２）年齢、（３）勤務先名と業種、
（４）住所であり、これらのパラメータ数は、各々、
　（２）年齢パラメータ数＝１０、
　（３）勤務先名と業種パラメータ数＝５、
　（４）住所パラメータ数＝４、
　である。
　その他の入力項目（１）性別、（５）身長、（６）体重、（健康情報：Ｑ１～Ｑ６）については、それぞれユーザ入力値の１つのデータを１つのパラメータとして設定できる。

　従って、全てのパラメータの組み合わせは、
　１０×５×４＝２００
　となり、２００種類のパラメータ設定の下で、保険加入可否の判定アルゴリズム（関数Ｆ）と、保険料算出アルゴリズム（関数Ｇ）を実行して、２００種類の結果（保険加入可否、および保険料）を算出する。

　図１１に、上記の２００種類のパラメータ設定の下で、保険加入可否の判定アルゴリズム（関数Ｆ）と、保険料算出アルゴリズム（関数Ｇ）を実行して算出した結果（マッチング結果）の例を示す。
　図１１には、２００のエントリ中の一部のみ示している。
　表の右端の２つのデータ［判定］、［保険料］が、アルゴリズム適用結果として算出される結果、すなわち保険契約可否情報と、保険契約可の場合に算出される保険料情報である。

　データ［判定］は、保険加入可否の判定アルゴリズム（関数Ｆ）を適用して得られる保険契約可否結果である。
　データ［保険料］は、、保険料算出アルゴリズム（関数Ｇ）を適用して得られる算出保険料の結果である。

　これら２つのデータ［判定］、［保険料］以外の［性別］～［体重］～［Ｑ６］、これらは、保険加入可否の判定アルゴリズム（関数Ｆ）と、保険料算出アルゴリズム（関数Ｇ）に入力されたパラメータである。
　図１１には一部のパラメータ組み合わせからなる一部のエントリのみ示しているが、上述したように、パラメータの組み合わせは２００種類あり、２００のエントリが設定され、２００エントリに対応する結果（保険加入可否、および保険料）が得られる。

　　［３－５．サーバからユーザ装置に対する結果データの送信処理と、ユーザ装置におけるデータ表示の具体例について］
　次に、サーバからユーザ装置に対する結果データの送信処理と、ユーザ装置におけるデータ表示の具体例について説明する。

　サーバ２０は、図１０、図１１を参照して説明したように、ユーザ装置１０からの受信データにおいて想定されるパラメータの組み合わせを全て適用してユーザに提示するための情報を生成する。
　サーバ２０は、このようにして得られた情報（計算結果）をユーザ装置１０に送信する。

　ただし、送信データが膨大となる場合は、生成情報（計算結果）を圧縮して、圧縮データを生成してユーザ装置１０に送信する。
　図１２を参照して、生成情報（計算結果）の圧縮処理例について説明する。

　図１２（ｂ１）計算結果は、上述した２００種類のパラメータ組み合わせに対応する２００のエントリからなるデータによって構成される。
　サーバ２０は、例えばこの計算結果について、同一の［判定］、［保険料］を有するエントリを１つのエントリにまとめるといったデータ圧縮処理を行う。
　このような圧縮処理によって、例えば２００エントリを５０エントリに圧縮するといったことが可能となる。

　例えば、図１２に示す（ｂ２）圧縮結果（送信データ）の第１エントリは、年齢が２０～２２の設定となっている。これは、年齢２０，２１，２２のみが異なり、他のパラメータが同一である３つの異なるエントリを１つのエントリにまとめたエントリである。
　年齢２０，２１，２２のみが異なり、他のパラメータが同一である３つのエントリについて、アルゴリズム（関数）適用結果として得られる［判定］、［保険料］の各データが一致する場合、これら３つのエントリを１つのエントリに圧縮することができる。

　サーバ２０は、この圧縮データを送信データとしてユーザ装置１０に送信する。
　図２に示すシーケンス図におけるステップＳ１０９の結果送信である。

　次に、ユーザ装置１０は、図２に示すシーケンス図におけるステップＳ１１０において、サーバ１０から送信された結果を表示部に表示する。
　ユーザ装置１０の表示部に表示される結果データの例を図１３に示す。

　図１３に示すデータは、先に図１２を参照して説明した圧縮データと同じデータである。
　ユーザ装置１０側のユーザは、この結果を参照して、自分のユーザ情報と一致するエントリを選択する。
　図に示す例では、エントリＮｏ．＝１８が、ユーザ情報に一致するエントリである。

　先に図７、図８を参照して説明したユーザの入力値は、以下の通りである。
　（１）性別＝男、
　（２）年齢＝２４、
　（３）住所＝１０２００７７　東京都千代田区飯田橋２－３－４、
　（４）勤務先名と業種＝Ａ電機、総合電機、
　（５）身長＝１７５、
　（６）体重＝７５、
　（健康情報：Ｑ１～Ｑ６）回答＝いいえ，いいえ、はい、いいえ、いいえ、はい

　図１３に示す結果データ中、エントリＮｏ．＝１８が、上記のユーザ情報に一致するエントリとして選択される。
　このエントリの結果データとして、
　保険加入可否判定＝可
　保険料＝５８００
　上記設定がされており、ユーザは、自分のユーザ情報に一致する設定の「保険加入可否判定情報」と、「保険料」を確実に確認することが可能となる。

　このように、本開示の処理を適用することで、ユーザは秘匿したい個人情報等の機密情報（セキュアデータ）を第三者に開示することなく、第三者からユーザの個人情報等の機密情報（セキュアデータ）に一致するデータに基づいて算出されるデータ処理結果を取得することが可能となる。

　　［４．情報処理装置のハードウェア構成例について］
　最後に、上述した実施例に従った処理を実行する情報処理装置、すなわちユーザ装置１０やサーバ２０として利用可能な情報処理装置のハードウェア構成例について、図１４を参照して説明する。

　図１４は、情報処理装置のハードウェア構成例を示す図である。
　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）２０１は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）２０２、または記憶部２０８に記憶されているプログラムに従って各種の処理を実行する制御部やデータ処理部として機能する。例えば、上述した実施例において説明したシーケンスに従った処理を実行する。ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）２０３には、ＣＰＵ２０１が実行するプログラムやデータなどが記憶される。これらのＣＰＵ２０１、ＲＯＭ２０２、およびＲＡＭ２０３は、バス２０４により相互に接続されている。

　ＣＰＵ２０１はバス２０４を介して入出力インタフェース２０５に接続され、入出力インタフェース２０５には、各種スイッチ、キーボード、マウス、マイクロホンなどよりなる入力部２０６、ディスプレイ、スピーカなどよりなる出力部２０７が接続されている。ＣＰＵ２０１は、入力部２０６から入力される指令に対応して各種の処理を実行し、処理結果を例えば出力部２０７に出力する。

　入出力インタフェース２５に接続されている記憶部２０８は、例えばハードディスク等からなり、ＣＰＵ２０１が実行するプログラムや各種のデータを記憶する。通信部２０９は、インターネットやローカルエリアネットワークなどのネットワークを介したデータ通信の送受信部として機能し、外部の装置と通信する。

　入出力インタフェース２０５に接続されているドライブ２１０は、磁気ディスク、光ディスク、光磁気ディスク、あるいはメモリカード等の半導体メモリなどのリムーバブルメディア２１１を駆動し、データの記録あるいは読み取りを実行する。

　　［５．本開示の構成のまとめ］
　以上、特定の実施例を参照しながら、本開示の実施例について詳解してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本開示の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。

　なお、本明細書において開示した技術は、以下のような構成をとることができる。
　（１）　入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行する一般化処理部と、
　前記一般化処理部によって一般化処理の施された一般化データを送信する通信部を有する情報処理装置。

　（２）　前記一般化処理部は、
　入力データの種類に応じて、予め規定された範囲の入力データ以外のデータを含む一般化データに変換する一般化処理を実行する（１）に記載の情報処理装置。

　（３）　前記一般化処理部は、
　入力データが数値データである場合、入力数値データとその他の数値データを含む一般化数値データに変換する一般化処理を実行する（１）または（２）に記載の情報処理装置。

　（４）　前記一般化処理部は、
　入力データが位置データである場合、入力位置データとその他の位置データを含む一般化位置データに変換する一般化処理を実行する（１）～（３）いずれかに記載の情報処理装置。

　（５）　前記一般化処理部は、
　前記入力データに対応づけられた一般化要否指定部に一般化処理を要求する指定情報が入力されている入力データを選択し、選択データの一般化処理を実行する（１）～（４）いずれかに記載の情報処理装置。

　（６）　前記一般化処理の対象となるデータは、個人情報である（１）～（５）いずれかに記載の情報処理装置。

　（７）　前記情報処理装置は、
　前記入力データの入力処理を行うための入力フォームを表示する表示部を有し、
　前記表示部は、
　入力項目対応の入力値記入部と、該入力値記入部に対応づけられた一般化要否指定部とを有する入力フォームを表示する（１）～（６）いずれかに記載の情報処理装置。

　（８）　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力し、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出するデータ処理部を有する情報処理装置。

　（９）　前記情報処理装置は、
　前記一般化データを受信する通信部を有し、
　前記データ処理部は、算出したデータ処理結果を、前記通信部を介して、前記一般化データの送信装置に送信する（８）に記載の情報処理装置。

　（１０）　前記データ処理部は、
　入力した一般化データが一般化数値データである場合、前記一般化数値データを複数の異なる個別数値データに分類し、
　分類した複数の異なる個別数値データの各々を適用したデータ処理を実行して、各個別数値データ対応のデータ処理結果を算出する（８）または（９）に記載の情報処理装置。

　（１１）　前記データ処理部は、
　入力した一般化データが一般化位置データである場合、前記一般化位置データを複数の異なる個別位置データに分類し、
　分類した複数の異なる個別位置データの各々を適用したデータ処理を実行して、各個別位置データ対応のデータ処理結果を算出する（８）～（１０）いずれかに記載の情報処理装置。

　（１２）　前記ユーザ入力データは、
　複数の入力項目に対応する複数の項目対応ユーザ入力データによって構成され、
　前記データ処理部は、
　一部の項目に対応する項目対応ユーザ入力データと、その他の項目に対応する項目対応一般化データとの混在データを入力し、
　前記項目対応一般化データの各々を、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の項目対応個別データに分類し、
　複数の項目対応個別データの各々を適用したデータ処理を実行して、各項目対応個別データに対応するデータ処理結果を算出する（８）～（１１）いずれかに記載の情報処理装置。

　（１３）　前記データ処理部は、
　前記入力データの入力処理を行うための入力フォームを、前記一般化データの送信装置に送信する処理を実行する構成であり、
　前記入力フォームは、
　入力項目対応の入力値記入部と、該入力値記入部に対応づけられた一般化要否指定部とを有する構成である（８）～（１２）いずれかに記載の情報処理装置。

　（１４）　ユーザ入力データの秘匿化データを送信するユーザ装置と、
　前記ユーザ装置からの受信データに基づくデータ処理を実行して処理結果を前記ユーザ装置に返信するサーバを有する情報処理システムであり、
　前記ユーザ装置は、
　入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行して、前記サーバに送信し、
　前記サーバは、
　前記一般化データを入力し、前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに分類し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出して、前記ユーザ装置に返信する情報処理システム。

　（１５）　情報処理装置において実行する情報処理方法であり、
　一般化処理部が、入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行し、
　通信部が、前記般化データを送信する情報処理方法。

　（１６）　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置のデータ処理部が、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力し、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出する情報処理方法。

　（１７）　情報処理装置において情報処理を実行させるプログラムであり、
　一般化処理部に、入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行させ、
　通信部に、前記般化データを送信させるプログラム。

　（１８）　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置のデータ処理部に、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力する処理と、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開する処理と、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出する処理を実行させるプログラム。

　また、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体に予め記録しておくことができる。記録媒体からコンピュータにインストールする他、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、インターネットといったネットワークを介してプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。

　なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

　上述したように、本開示の一実施例の構成によれば、個人情報等の機密情報を開示することなく、機密情報を用いたデータ処理結果を算出して処理結果を提示可能とした構成が実現される。
　具体的には、例えば、ユーザ入力データの秘匿化データを送信するユーザ装置と、ユーザ装置からの受信データに基づくデータ処理を実行するサーバを有する。ユーザ装置は、入力データの秘匿化処理として、入力データと入力データ以外のデータを含む一般化データに変換するデータ一般化処理を実行してサーバに送信する。サーバは、入力した一般化データを、ユーザ入力データを含む複数の個別データに展開し、複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出してユーザ装置に返信する。
　本構成により、個人情報等の機密情報を開示することなく、機密情報を用いたデータ処理結果を算出して処理結果を提示可能とした構成が実現される。

　　１０　ユーザ装置
　　２０　サーバ
　２０１　ＣＰＵ
　２０２　ＲＯＭ
　２０３　ＲＡＭ
　２０４　バス
　２０５　入出力インタフェース
　２０６　入力部
　２０７　出力部
　２０８　記憶部
　２０９　通信部
　２１０　ドライブ
　２１１　リムーバブルメディア

Claims

　入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行する一般化処理部と、
　前記一般化処理部によって一般化処理の施された一般化データを送信する通信部を有する情報処理装置。
　前記一般化処理部は、
　入力データの種類に応じて、予め規定された範囲の入力データ以外のデータを含む一般化データに変換する一般化処理を実行する請求項１に記載の情報処理装置。
　前記一般化処理部は、
　入力データが数値データである場合、入力数値データとその他の数値データを含む一般化数値データに変換する一般化処理を実行する請求項１に記載の情報処理装置。
　前記一般化処理部は、
　入力データが位置データである場合、入力位置データとその他の位置データを含む一般化位置データに変換する一般化処理を実行する請求項１に記載の情報処理装置。
　前記一般化処理部は、
　前記入力データに対応づけられた一般化要否指定部に一般化処理を要求する指定情報が入力されている入力データを選択し、選択データの一般化処理を実行する請求項１に記載の情報処理装置。
　前記一般化処理の対象となるデータは、個人情報である請求項１に記載の情報処理装置。
　前記情報処理装置は、
　前記入力データの入力処理を行うための入力フォームを表示する表示部を有し、
　前記表示部は、
　入力項目対応の入力値記入部と、該入力値記入部に対応づけられた一般化要否指定部とを有する入力フォームを表示する請求項１に記載の情報処理装置。
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力し、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出するデータ処理部を有する情報処理装置。
　前記情報処理装置は、
　前記一般化データを受信する通信部を有し、
　前記データ処理部は、算出したデータ処理結果を、前記通信部を介して、前記一般化データの送信装置に送信する請求項８に記載の情報処理装置。
　前記データ処理部は、
　入力した一般化データが一般化数値データである場合、前記一般化数値データを複数の異なる個別数値データに分類し、
　分類した複数の異なる個別数値データの各々を適用したデータ処理を実行して、各個別数値データ対応のデータ処理結果を算出する請求項８に記載の情報処理装置。
　前記データ処理部は、
　入力した一般化データが一般化位置データである場合、前記一般化位置データを複数の異なる個別位置データに分類し、
　分類した複数の異なる個別位置データの各々を適用したデータ処理を実行して、各個別位置データ対応のデータ処理結果を算出する請求項８に記載の情報処理装置。
　前記ユーザ入力データは、
　複数の入力項目に対応する複数の項目対応ユーザ入力データによって構成され、
　前記データ処理部は、
　一部の項目に対応する項目対応ユーザ入力データと、その他の項目に対応する項目対応一般化データとの混在データを入力し、
　前記項目対応一般化データの各々を、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の項目対応個別データに分類し、
　複数の項目対応個別データの各々を適用したデータ処理を実行して、各項目対応個別データに対応するデータ処理結果を算出する請求項８に記載の情報処理装置。
　前記データ処理部は、
　前記入力データの入力処理を行うための入力フォームを、前記一般化データの送信装置に送信する処理を実行する構成であり、
　前記入力フォームは、
　入力項目対応の入力値記入部と、該入力値記入部に対応づけられた一般化要否指定部とを有する構成である請求項８に記載の情報処理装置。
　ユーザ入力データの秘匿化データを送信するユーザ装置と、
　前記ユーザ装置からの受信データに基づくデータ処理を実行して処理結果を前記ユーザ装置に返信するサーバを有する情報処理システムであり、
　前記ユーザ装置は、
　入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行して、前記サーバに送信し、
　前記サーバは、
　前記一般化データを入力し、前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに分類し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出して、前記ユーザ装置に返信する情報処理システム。
　情報処理装置において実行する情報処理方法であり、
　一般化処理部が、入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行し、
　通信部が、前記般化データを送信する情報処理方法。
　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置のデータ処理部が、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力し、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開し、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出する情報処理方法。
　情報処理装置において情報処理を実行させるプログラムであり、
　一般化処理部に、入力データの秘匿化処理として、入力データに対して、入力データと入力データ以外のデータを含む一般化データに変換する一般化処理を実行させ、
　通信部に、前記般化データを送信させるプログラム。
　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置のデータ処理部に、
　ユーザ入力データとユーザ入力データ以外のデータを含む一般化データを入力する処理と、
　前記一般化データを、ユーザ入力データと、前記ユーザ入力データ以外のデータからなる複数の個別データに展開する処理と、
　前記複数の個別データの各々を適用したデータ処理を実行して、各個別データ対応のデータ処理結果を算出する処理を実行させるプログラム。